Уязвимость почтового клиента Mozilla Thunderbird (CVE-2021-29970, CVE-2021-30547, CVE-2021-29976, CVE-2021-29969)

1. Описание уязвимости:

CVE-2021-29970 Уязвимость почтового клиента Mozilla Thunderbird, связана c ошибкой обработки содержимого HTML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать ошибку использования после освобождения и выполнить произвольный код в системе.
CVE-2021-30547 Уязвимость почтового клиента Mozilla Thunderbird, связана c граничной ошибкой при обработке ненадежного HTML-содержимого в ANGLE. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать специальную веб-страницу, обманом заставить жертву открыть ее, инициировать запись за пределами допустимого диапазона и выполнить произвольный код в целевой системе.
CVE-2021-29976 Уязвимость почтового клиента Mozilla Thunderbird, связана c граничной ошибкой при обработке HTML. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, создать специальную веб-страницу, обманом заставить жертву открыть ее, вызвать повреждение памяти и выполнить произвольный код в целевой системе.
CVE-2021-29969 Уязвимость почтового клиента Mozilla Thunderbird, связана c способом обработки ответов сервера IMAP, отправленных до процесса STARTTLS. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять атаку MitM и отправлять произвольные команды IMAP до подтверждения STARTTLS и выполнять их после завершения подтверждения.
Идентификатор Банка данных угроз безопасности информации ФСТЭК России: BDU:2021-03659, BDU:2021-03660, BDU:2021-03661, BDU:2021-03662
Версия ОС: 7.2

2. Возможные меры по устранению уязвимости

Не использовать почтовый клиент Mozilla Thunderbird
или
— установить обновления безопасности для пакета:
thunderbird
Установка обновлений возможна следующими способами:
а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:
# yum update
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.
б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия:
— скачать обновленный пакет (с зависимостями при необходимости):
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/thunderbird-78.12.0-1.el7.2.x86_64.rpm
Проверить целостность и подлинность пакета по инструкции
Установить скачанный пакет(ы) командой:
# yum localinstall *.rpm
После вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Дата последнего изменения: 26.02.2022

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.